Il 16 Luglio 2020 la Corte di Giustizia Europea, nella causa C-311/18 promossa dal noto attivista Maximiliam Schrems, ha dichiarato invalida la decisione di esecuzione UE 2016/1250 della Commissione, con cui veniva stabilita l’adeguatezza del Privacy Shield per i trasferimenti dei dati personali dall’Unione Europea verso gli Stati Uniti d’America.
Addio Privacy Shield: come procedere?
La decisione della Corte di Giustizia Europea ha di fatto messo nei guai, rendendole teoricamente non più “GDPR compliant”, tutte quelle società che risiedevano negli USA e che basavano il trasferimento dei dati sullo strumento in oggetto, il Privacy Shield.
Parliamo di realtà quali, ad esempio:
- Google;
- Facebook;
- Apple (le società californiane);
- Mailchimp;
- ActiveCampaign;
- FaceApp;
- Magento;
- e tutte le altre oltre 5300 realtà che facevano del Privacy Shield il loro punto di forza per certificare l’adeguato livello di protezione dei dati raccolti.
Privacy Shield Invalidato
Tutte queste realtà si sono trovate, quindi, nella condizione di dover ricorrere ad altri strumenti di garanzia tra quelli previsti dal GDPR (articoli 44-50), oppure di trasferire sedi e server all’interno della UE.
I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo o verso un’organizzazione internazionale sono consentiti, infatti, a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea (art. 45 del Regolamento UE 2016/679).
In assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del Regolamento UE 2016/679).
Tra gli strumenti di garanzia, una strada che sembrava percorribile per queste realtà era quella di affidarsi alle Clausole Contrattuali Standard (che ad esempio Amazon adottava già da tempo); tramite le quali l’azienda avrebbe garantito che i dati dell’utente non fossero utilizzati, negli Stati Uniti, in modalità non congrue con le norme europee.
Il fatto però che le agenzie di sicurezza americane avessero, per legge, accesso privilegiato ai dati rendeva quantomeno difficoltoso garantire una tutela adeguata.
La Corte di Giustizia Europea osservava che, oltre ad aderire alle Clausole Contrattuali Standard, l’esportatore e l’importatore di dati personali potrebbero dover accettare misure supplementari per garantire un livello adeguato di protezione dei dati trasferiti, ma non specificava quali potessero essere tali misure.
Le nuove Clausole Contrattuali Standard
Il 4 giugno 2021, la Commissione Europea ha pubblicamente adottato nuove Clausole Contrattuali Standard per il trasferimento di dati personali verso paesi terzi.
La decisione entra in vigore il 27 giugno 2021 ovvero a partire dal ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’UE (“GUUE”).
Il periodo di transizione previsto per il passaggio dalle vecchie SCC alle nuove è, in totale, di 18 mesi.
Le nuove Clausole prevedono garanzie più specifiche nel caso in cui la legislazione del paese di destinazione incida sul rispetto delle clausole stesse, in particolare qualora autorità pubbliche ingiungano la comunicazione di dati personali.
